DE102007008293A1 - Method and device for secure storage and secure reading of user data - Google Patents
Method and device for secure storage and secure reading of user data Download PDFInfo
- Publication number
- DE102007008293A1 DE102007008293A1 DE102007008293A DE102007008293A DE102007008293A1 DE 102007008293 A1 DE102007008293 A1 DE 102007008293A1 DE 102007008293 A DE102007008293 A DE 102007008293A DE 102007008293 A DE102007008293 A DE 102007008293A DE 102007008293 A1 DE102007008293 A1 DE 102007008293A1
- Authority
- DE
- Germany
- Prior art keywords
- record
- data
- data area
- identifier
- stored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 15
- 230000007717 exclusion Effects 0.000 claims description 42
- 238000012360 testing method Methods 0.000 claims description 7
- 230000001419 dependent effect Effects 0.000 claims description 6
- 239000008186 active pharmaceutical agent Substances 0.000 description 67
- 230000015654 memory Effects 0.000 description 38
- 239000006144 Dulbecco’s modified Eagle's medium Substances 0.000 description 14
- 230000008901 benefit Effects 0.000 description 8
- 239000011241 protective layer Substances 0.000 description 5
- 101000956004 Homo sapiens Vitamin D-binding protein Proteins 0.000 description 4
- 102100038611 Vitamin D-binding protein Human genes 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000006378 damage Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- BUHVIAUBTBOHAG-FOYDDCNASA-N (2r,3r,4s,5r)-2-[6-[[2-(3,5-dimethoxyphenyl)-2-(2-methylphenyl)ethyl]amino]purin-9-yl]-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound COC1=CC(OC)=CC(C(CNC=2C=3N=CN(C=3N=CN=2)[C@H]2[C@@H]([C@H](O)[C@@H](CO)O2)O)C=2C(=CC=CC=2)C)=C1 BUHVIAUBTBOHAG-FOYDDCNASA-N 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
- G06F21/87—Secure or tamper-resistant housings by means of encapsulation, e.g. for integrated circuits
Abstract
Nutzdaten (ND) werden in mindestens einem Datensatz (DS) in mindestens einem vorgegebenen, logischen Datenbereich gespeichert. Dem mindestens einen Datensatz (DS) wird jeweils eine Datensatzkennung (DSK) zugeordnet, die einen in dem jeweiligen vorgegebenen Datenbereich eindeutigen Eindeutigkeitsstempel, eine eindeutige Datenbereichskennung des vorgegebenen Datenbereichs, in dem der jeweilige Datensatz (DS) gespeichert ist, und eine logische Position des jeweiligen Datensatzes (DS) innerhalb des jeweiligen vorgegebenen Datenbereichs umfasst. Zu den Nutzdaten (ND) und der jeweils zugehörigen Datensatzkennung (DSK) des jeweiligen Datensatzes (DS) wird ein Datensatzprüfwert (DSP) ermittelt und gespeichert. Dem jeweiligen vorgegebenen Datenbereich wird eine Datenbereichsinformation (DBI) zugeordnet, die die Datenbereichskennung des jeweiligen vorgegebenen Datenbereichs und Informationen zu mindestens einem Wertebereich der Eindeutigkeitsstempel der aktuell in dem jeweiligen vorgegebenen Datenbereich gespeicherten Datensätze (DS) umfasst.User data (ND) are stored in at least one data record (DS) in at least one predetermined, logical data area. The at least one data record (DS) is assigned in each case a data record identifier (DSK) which has a uniqueness stamp which is unique in the respective given data area, a unique data area identifier of the predefined data area in which the respective data record (DS) is stored, and a logical position of the respective data record Record (DS) within the respective predetermined data range includes. For the payload data (ND) and the respectively associated record identifier (DSK) of the respective record (DS), a record check value (DSP) is determined and stored. The respective given data area is assigned a data area information (DBI) which comprises the data area identifier of the respective predefined data area and information about at least one value range of the uniqueness stamp of the data records (DS) currently stored in the respective predetermined data area.
Description
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum gesicherten Speichern und zum gesicherten Lesen von Nutzdaten, insbesondere in einem digitalen Tachographen.The The invention relates to a method and a device for secured Save and secure reading of user data, in particular in a digital tachograph.
In
der
Die Aufgabe der Erfindung ist, ein Verfahren und eine Vorrichtung zum gesicherten Speichern und ein Verfahren und eine Vorrichtung zum gesicherten Lesen von Nutzdaten zu schaffen, die zuverlässig sind.The The object of the invention is a method and an apparatus for secured storage and a method and apparatus for secure reading of user data that is reliable.
Die Aufgabe wird gelöst durch die Merkmale der unabhängigen Patentansprüche. Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet.The Task is solved by the characteristics of the independent Claims. Advantageous developments of the invention are characterized in the subclaims.
Gemäß eines ersten Aspekts zeichnet sich die Erfindung aus durch ein Verfahren und eine entsprechende Vorrichtung zum gesicherten Speichern von Nutzdaten. Die Nutzdaten werden in mindestens einem Datensatz in mindestens einem vorgegebenen, logischen Datenbereich gespeichert. Dem mindestens einen Da tensatz wird jeweils eine Datensatzkennung zugeordnet, die einen in dem jeweiligen vorgegebenen Datenbereich eindeutigen Eindeutigkeitsstempel, eine eindeutige Datenbereichskennung des vorgegebenen Datenbereichs, in dem der jeweilige Datensatz gespeichert ist, und eine logische Position des jeweiligen Datensatzes innerhalb des jeweiligen vorgegebenen Datenbereichs umfasst. Die Datensatzkennung wird gespeichert. Zu den Nutzdaten und der jeweils zugehörigen Datensatzkennung des jeweiligen Datensatzes wird ein Datensatzprüfwert ermittelt und gespeichert. Dem jeweiligen vorgegebenen Datenbereich wird eine Datenbereichsinformation zugeordnet, die die Datenbereichskennung des jeweiligen vorgegebenen Datenbereichs umfasst. Die Datenbereichsinformation umfasst ferner Informationen zu mindestens einem Wertebereich der Eindeutigkeitsstempel der aktuell in dem jeweiligen vorgegebenen Datenbereich gespeicherten Datensätze. Die jeweilige Datenbereichsinformation wird sicher oder gesichert gespeichert.According to one In the first aspect, the invention is characterized by a method and a corresponding device for the secure storage of Payload. The payload is stored in at least one record in stored at least one predetermined, logical data area. The at least one data set is in each case assigned a data record identifier assigned, the one in the respective predetermined data area unique uniqueness stamp, a unique data area identifier of the predetermined data area in which the respective data record is stored is, and a logical position of each record within of the respective given data area. The record identifier will be saved. To the user data and the respective associated Record ID of the respective record becomes a record check value determined and saved. The respective given data area is assigned a data area information which is the data area identifier of the respective predetermined data area. The data area information also includes information on at least one range of values of Uniqueness stamp currently in the given one Data area stored records. The respective data area information becomes saved safely or securely.
Sicheres Speichern bedeutet, dass die so gespeicherten Daten vor Manipulation geschützt gespeichert werden. Das sichere Speichern erfolgt bevorzugt in einem sicheren Speicher, in dem die Daten elektrisch und/oder mechanisch vor Manipulation geschützt sind. Gesichertes Speichern bedeutet, dass die so gespeicherten Daten auf Manipulationen überprüfbar sind, zum Beispiel durch Überprüfen eines kryptographisch ermittelten Prüfwerts, wie zum Beispiel des Datensatzprüfwerts, oder einer kryptographisch ermittelten digitalen Signatur. Das gesicherte Speichern hat den Vorteil, dass die so gespeicherten Daten einfach und zuverlässig auf ihre Integrität überprüfbar sind und dass die Daten ferner nicht in dem sicheren Speicher gespeichert werden müssen. Aufgrund des im Allgemeinen hohen Preises des sicheren Speichers, können so Kosten gespart werden. Das sichere beziehungsweise gesicherte Speichern umfasst insbesondere kryptographisch sicheres beziehungsweise gesichertes Speichern, das heißt insbesondere das Nutzen kryptographischer Schlüssel und/oder kryptographischer Algorithmen zur Gewährleistung der Sicherheit.Secure Saving means that the data stored in this way is against manipulation be stored protected. Safe storage takes place preferably in a secure memory in which the data is electrical and / or mechanically protected against manipulation. secured Saving means that the data saved in this way can be checked for manipulation are, for example, by checking a cryptographic determined test value, such as the record test value, or a cryptographically determined digital signature. The saved save has the advantage that the data stored so easy and reliable are verifiable on their integrity and that the data is also not stored in the secure memory Need to become. Because of the generally high price Safe storage, so costs can be saved. The secure or secure storage includes in particular cryptographically secure storage, that means in particular the use of cryptographic keys and / or cryptographic algorithms for warranty safety.
Durch Vorsehen des Datensatzprüfwerts ist eine Manipulation der Nutzdaten und/oder der zugehörigen Datensatzkennung zuverlässig erkennbar. Anhand der Datenbereichskennung ist ein Austausch eines Datensatzes zwischen unterschiedlichen vorgegebenen Datenbereichen zuverlässig erkennbar. Ferner ist anhand der logischen Position des Datensatzes innerhalb des zugehörigen, vorgegebenen Datenbereichs ein Vertauschen von Datensätzen zuverlässig erkennbar. Anhand des Eindeutigkeitsstempels und der Information zu dem mindestens einen Wertebereich der Eindeutigkeitsstempel ist eine so genannte Replay-Attacke zuverlässig erkennbar. Bei einer Replay-Attacke wird beispielsweise ein alter Datensatz, der ungültig geworden ist, der jedoch einen korrekten Datensatzprüfwert aufweist, als ein neuerer Datensatz ausgegeben.By Providing the record check value is a manipulation of the User data and / or the associated record identifier reliable recognizable. Based on the data area identifier is an exchange of a Record between different predetermined data areas reliably recognizable. Further, by logical Position of the data record within the associated, predefined data area a swapping of records reliably recognizable. Based on the uniqueness stamp and the information on the at least A value range of the uniqueness stamp is a so-called Replay attack reliably recognizable. In a replay attack For example, an old record that has become invalid is, but has a correct record check value, output as a newer record.
Durch die genannten Maßnahmen sind die Nutzdaten gesichert gespeichert. Manipulationen der Nutzdaten sind einfach und zuverlässig erkennbar. Ferner ermöglicht das Vorsehen der Datensatzkennung, des Datensatzprüfwerts und der Datenbereichsinformation einen schnellen Zugriff auf die Nutzdaten und insbesondere ein schnelles, gesichertes Schreiben und ein schnelles, gesichertes Lesen und Überprüfen der Nutzdaten. Ein weiterer Vorteil ist, dass die Nutzdaten und die Datensatzkennung nicht in dem sicheren Speicher gespeichert werden müssen.By the measures mentioned are saved in the user data. Manipulation of user data is simple and reliable recognizable. Furthermore, the provision of the record identifier allows the record check value and the data area information fast access to the user data and in particular a fast, secure writing and fast, secure reading and checking the user data. Another advantage is that the payload and the record identifier is not stored in the secure storage Need to become.
In einer vorteilhaften Ausgestaltung umfasst das gesicherte Speichern der jeweiligen Datenbereichsinformation, zu mindestens einer Datenbereichsinformation mindestens eines vorgegebenen Datenbereichs einen gemeinsamen oder jeweiligen Datenbereichsprüfwert zu ermitteln und sicher oder gesichert zu speichern. Der Vorteil ist, dass Manipulationen der mindestens einen Datenbereichsinformation zuverlässig erkennbar sind. Ferner muss die mindestens eine Datenbereichsinformation so nicht in dem sicheren Speicher gespeichert sein. Der sichere Speicher kann dadurch mit einer besonders kleinen Speicherkapazität ausgebildet und entsprechend kostengünstig sein. Ferner ist die Integrität der mindestens einen Datenbereichsinformation einfach, schnell und zuverlässig überprüfbar.In an advantageous embodiment, the secure storage of the respective Datenbe includes Reichsinformation to determine at least one data area information of at least one predetermined data area a common or respective Datenbereichsprüfwert and store safely or securely. The advantage is that manipulations of the at least one data area information can be reliably detected. Furthermore, the at least one data area information need not be stored in the secure memory in this way. The secure memory can be formed with a particularly small storage capacity and be correspondingly inexpensive. Furthermore, the integrity of the at least one data area information can be checked easily, quickly and reliably.
In einer weiteren vorteilhaften Ausgestaltung ist dem jeweiligen vorgegebenen Datenbereich eine Ausschlussliste ungültig gewordener Datensätze zugeordnet. Der jeweilige Datensatz, der ungültig geworden ist, wird in der Ausschlussliste registriert. Die Ausschlussliste wird sicher oder gesichert gespeichert. Dadurch kann eine Replay-Attacke mit dem ungültig gewordenen Datensatz zuverlässig verhindert werden. Ferner ist so ein Löschen eines Datensatzes möglich, wodurch dieser ungültig wird, ohne die Integrität der in dem zugehörigen, vorgegebenen Datenbereich zu gefährden.In a further advantageous embodiment is the respective predetermined Data area an exclusion list of invalidated records assigned. The particular record that has become invalid is registered in the exclusion list. The exclusion list is saved safely or securely. This can be a replay attack reliable with the invalidated record be prevented. Furthermore, such a deletion of a record possible, which makes it invalid without the Integrity of in the associated, predetermined data area to endanger.
In diesem Zusammenhang ist es vorteilhaft, wenn durch das Registrieren des jeweiligen, ungültig gewordenen Datensatzes in der Ausschlussliste der zugehörige Eindeutigkeitsstempel in die Ausschlussliste eingetragen wird oder abhängig von diesem mindestens ein Wertebereich ungültig gewordener Eindeutigkeitsstempel in die Ausschlussliste eingetragen oder in der Ausschlussliste erweitert wird. Dies hat den Vorteil, dass ein Speicherplatzbedarf für die Ausschlussliste gering ist, insbesondere bei Vorsehen des mindestens einen Wertebereichs ungültig gewordener Eindeutigkeitsstempel. Ferner kann die Ausschlussliste so besonders schnell durchsucht werden.In In this context, it is advantageous if by registering of the respective, invalidated record in the Exclusion list the corresponding uniqueness stamp in the exclusion list is entered or depends on this at least one value range has become invalid Uniqueness stamp entered in the exclusion list or in the exclusion list is extended. This has the advantage of being a Space requirement for the exclusion list is low, in particular when the at least one value range has become invalid Uniqueness stamps. Furthermore, the exclusion list can be so special be searched quickly.
In einer weiteren vorteilhaften Ausgestaltung wird ein aktueller Zeitstempel ermittelt und in der jeweiligen Datensatzkennung gespeichert. Dadurch sind zeitlich zusammenhängende Datensätze sehr einfach und schnell ermittelbar, insbesondere auch in zwei oder mehr der vorgegebenen Datenbereichen.In a further advantageous embodiment is a current timestamp determined and stored in the respective record identifier. Thereby are temporally related records very easy and quickly ascertainable, especially in two or more of the predetermined data areas.
Gemäß eines zweiten Aspekts zeichnet sich die Erfindung aus durch ein Verfahren und eine entsprechende Vorrichtung zum gesicherten Lesen von Nutzdaten. Die Nutzdaten mindestens eines Datensatzes werden gelesen, die in mindestens einem vor gegebenen, logischen Datenbereich gespeichert sind. Eine dem mindestens einen Datensatz zugeordnete Datensatzkennung wird gelesen, die einen in dem jeweiligen vorgegebenen Datenbereich eindeutigen Eindeutigkeitsstempel, eine eindeutige Datenbereichskennung des vorgegebenen Datenbereichs, in dem der jeweilige Datensatz gespeichert ist, und eine logische Position des jeweiligen Datensatzes innerhalb des jeweiligen vorgegebenen Datenbereichs umfasst. Ein Datensatzprüfwert wird gelesen, der zu den Nutzdaten und der zugehörigen Datensatzkennung des jeweiligen Datensatzes gespeichert ist. Ein entsprechender Vergleichsdatensatzprüfwert wird ermittelt. Eine dem jeweiligen vorgegebenen Datenbereich zugeordnete Datenbereichsinformation wird gelesen, die die Datenbereichskennung des jeweiligen vorgegebenen Datenbereichs und Informationen zu mindestens einem Wertebereich der Eindeutigkeitsstempel der aktuell in dem jeweiligen vorgegebenen Datenbereich gespeicherten Datensätze umfasst. Eine Integrität der Nutzdaten des jeweiligen gelesenen Datensatzes wird überprüft abhängig von der jeweiligen Datensatzkennung, dem jeweiligen Datensatzprüfwert, dem jeweiligen Vergleichsdatensatzprüfwert und der zugehörigen Datenbereichsinformation.According to one second aspect, the invention is characterized by a method and a corresponding device for the secure reading of user data. The user data of at least one data record is read, which is stored in stored at least one given before, logical data area. A record identifier associated with the at least one record is read, the one in the respective given data area unique uniqueness stamp, a unique data area identifier the predetermined data area in which the respective data record is stored is, and a logical position of each record within of the respective given data area. A record check value is read to the payload and the associated Record identifier of each record is stored. An appropriate one Comparison record check value is determined. One of each predetermined data area associated data area information is read that the data area identifier of the given one Data area and information on at least one value range the uniqueness stamp currently in the given data area stored records. An integrity the user data of the respective read record is checked depending on the respective record identifier, the respective Record check value, the respective comparison record check value and the associated data area information.
Gesichertes Lesen bedeutet, dass die so gelesenen Daten auf Manipulationen überprüft werden, zum Beispiel durch Überprüfen eines kryptographisch ermittelten Prüfwerts, wie zum Beispiel des Datensatzprüfwerts, oder einer kryptographisch ermittelten digitalen Signatur.secured Reading means that the data read in this way is checked for tampering be, for example, by checking a cryptographic determined test value, such as the record test value, or a cryptographically determined digital signature.
Anhand des Datensatzprüfwerts ist eine Manipulation der Nutzdaten und/oder der zugehörigen Datensatzkennung zuverlässig erkennbar. Anhand der Datenbereichskennung ist ein Austausch eines Datensatzes zwischen unterschiedlichen vorgegebenen Datenbereichen zuverlässig erkennbar. Ferner ist anhand der logischen Position des Datensatzes innerhalb des zugehörigen, vorgegebenen Datenbereichs ein Vertauschen von Datensätzen zuverlässig erkennbar. Anhand des Eindeutigkeitsstempels und der Information zu dem mindestens einen Wertebereich der Ein deutigkeitsstempel ist eine so genannte Replay-Attacke zuverlässig erkennbar. Bei einer Replay-Attacke wird beispielsweise ein alter Datensatz, der ungültig geworden ist, der jedoch einen korrekten Datensatzprüfwert aufweist, als ein neuerer Datensatz ausgegeben.Based of the record check value is a manipulation of the payload and / or the associated record identifier reliable recognizable. Based on the data area identifier is an exchange of a record between different predetermined data areas reliably recognizable. Furthermore, based on the logical position of the record within the associated, predetermined data area a swap reliably recognizable from data records. Based of the uniqueness stamp and the information to the at least A value range of a uniqueness stamp is a so-called replay attack reliably recognizable. For example, a replay attack an old record that has become invalid, however has a correct record check value, as a newer one Record output.
Durch die genannten Maßnahmen werden die Nutzdaten gesichert gelesen. Manipulationen der Nutzdaten werden einfach und zuverlässig erkannt. Ferner ermöglichen die Datensatzkennung, der Datensatzprüfwert und die Datenbereichsinformation einen schnellen Zugriff auf die Nutzdaten und insbesondere ein schnelles, gesichertes Lesen und Überprüfen der Nutzdaten.By the measures mentioned are saved the user data read. Manipulating the user data becomes easy and reliable recognized. Furthermore, the record identifier allow the record check value and the data area information provides quick access to the User data and in particular a fast, secure reading and checking the user data.
In einer vorteilhaften Ausgestaltung des zweiten Aspekts wird mindestens ein gemeinsamer oder jeweiliger Datenbereichsprüfwert mindestens einer Datenbereichsinformation mindestens eines vorgegebenen Datenbereichs gelesen. Jeweils ein entsprechender gemeinsamer oder jeweiliger Vergleichsdatenbereichsprüfwert wird zu der mindestens einen Datenbereichsinformation des mindestens einen vorgegebenen Datenbereichs ermittelt. Die Integrität der Nutzdaten in dem jeweiligen Datensatz wird überprüft abhängig von dem mindestens einen gelesenen Datenbereichsprüfwert und dem mindestens einen Vergleichsdatenbereichsprüfwert. Der Vorteil ist, dass Manipulationen der mindestens einen Datenbereichsinformation zuverlässig erkannt werden. Ferner kann die Integrität der mindestens einen Datenbereichsinformation einfach, schnell und zuverlässig überprüft werden.In an advantageous embodiment of the second aspect, at least one common or respective data area check value of at least one data area information is at least one read predetermined data area. In each case a corresponding common or respective comparison data area check value is determined for the at least one data area information of the at least one predetermined data area. The integrity of the payload data in the respective data set is checked as a function of the at least one read data area check value and the at least one compare data area check value. The advantage is that manipulations of the at least one data area information are reliably detected. Furthermore, the integrity of the at least one data area information can be checked easily, quickly and reliably.
In einer weiteren vorteilhaften Ausgestaltung des zweiten Aspekts wird eine dem jeweiligen vorgegebenen Datenbereich zugeordnete Ausschlussliste ungültig gewordener Datensätze nach einer Registrierung des jeweiligen gelesenen Datensatzes durchsucht. Die Integrität der Nutzdaten wird in dem jeweiligen Datensatz überprüft abhängig von den in der Ausschlussliste registrierten, ungültig gewordenen Datensätzen. Die dem jeweiligen vorgegebenen Datenbereich zugeordnete Ausschluss liste wird sicher oder gesichert gelesen, das heißt aus einem manipulationssicheren Speicher gelesen und/oder auf ihre Integrität überprüft. Anders ausgedrückt umfasst das Überprüfen der Integrität der Nutzdaten gegebenenfalls auch das Überprüfen der Integrität der Ausschlussliste. Dadurch kann eine Replay-Attacke mit dem ungültig gewordenen Datensatz zuverlässig verhindert werden. Ferner kann so ein gelöschter Datensatz, der durch das Löschen ungültig geworden ist, nicht die Integrität der in dem zugehörigen, vorgegebenen Datenbereich gespeicherten Daten gefährden.In a further advantageous embodiment of the second aspect is an exclusion list associated with the respective given data area becomes invalid become records after a registration of the respective searched record searched. The integrity of the payload is checked in the respective record depending of those registered in the exclusion list, invalid become records. The the given one Data exclusion list associated with data area becomes secure or secured read, that is from a tamper-proof memory read and / or checked for integrity. In other words, checking includes the integrity of the user data, if necessary, also the checking the integrity of the exclusion list. This can be a replay attack reliable with the invalidated record be prevented. Furthermore, such a deleted record, which has become invalid by deleting, not the integrity of the associated, given Data area stored data.
In diesem Zusammenhang ist es vorteilhaft, wenn die Integrität der Nutzdaten in dem jeweiligen Datensatz überprüft wird abhängig von in der Ausschlussliste eingetragenen, ungültig gewordenen Eindeutigkeitsstempeln oder abhängig von mindestens einem Wertebereich ungültig gewordener Eindeutigkeitsstempel, der in der Ausschlussliste eingetragen ist. Dies hat den Vorteil, dass ein Speicherplatzbedarf für die Ausschlussliste gering ist, insbesondere bei Vorsehen des mindestens einen Wertebereichs ungültig gewordener Eindeutigkeitsstempel. Ferner kann die Ausschlussliste so besonders schnell durchsucht werden.In In this context, it is beneficial if the integrity the payload in the respective record checked is dependent on the number entered in the exclusion list, become uniqueness uniqueness stamps or dependent uniqueness stamp invalidated by at least one value range, which is entered in the exclusion list. This has the advantage that a space requirement for the exclusion list is low is, in particular when providing the at least one range of values invalidated uniqueness stamp. Furthermore, can the exclusion list will be searched so quickly.
Ausführungsbeispiele der Erfindung sind im Folgenden anhand der schematischen Zeichnungen erläutert. Es zeigen:embodiments The invention are explained below with reference to the schematic drawings. Show it:
Elemente gleicher Konstruktion oder Funktion sind figurenübergreifend mit den gleichen Bezugszeichen versehen.elements the same construction or function are cross-figurative provided with the same reference numerals.
Ein
digitaler Tachograph TCO umfasst einen sicheren Speicher SMEM, einen
Datenspeicher DMEM, eine Echtzeituhr RTC und mindestens eine Chipkartenleseeinheit,
in die eine Chipkarte CK einsteckbar ist, zum Beispiel eine so genannte
Tachographenkarte oder Werkstattkarte (
Der sichere Speicher SMEM ist vorzugsweise elektrisch und/oder mechanisch vor Manipulationen der in diesem gespeicherten Daten geschützt. Beispielsweise ist der sichere Speicher SMEM mit einer Schutzschicht oder einem Sicherheitsgitter versehen, die beziehungsweise das elektrisch überwachbar ist. Bei einer Beschädigung der Schutzschicht beziehungsweise des Sicherheitsgitters kann ein Zugriff auf die in dem sicheren Speicher SMEM gespeicherten Daten verhindert werden, zum Beispiel durch Löschen der Daten. Der sichere Speicher SMEM kann jedoch auch anders ausgebildet sein.Of the Secure memory SMEM is preferably electrical and / or mechanical protected from manipulation of the data stored in it. For example is the secure memory SMEM with a protective layer or a Security grille provided, the or the electrically monitored is. In case of damage to the protective layer or The security grid can have access to the secure one Memory SMEM stored data can be prevented, for example by deleting the data. The secure memory SMEM can but also be designed differently.
Der Datenspeicher DMEM ist vorzugsweise unsicher ausgebildet, also insbesondere nicht elektrisch und/oder mechanisch vor Manipulation geschützt. Aufgrund des im Allgemeinen höheren Preises des sicheren Speichers SMEM gegenüber dem Datenspeicher DMEM weist der sichere Speicher SMEM nur eine geringe Speicherkapazität auf im Vergleich zu dem Datenspeicher DMEM. Jedoch sollen auch die in dem Datenspeicher DMEM gespeicherten Daten geschützt sein. Insbesondere sollen Manipulationen der Daten zuverlässig erkannt werden können. Der Tachograph TCO ist daher dazu ausgebildet, Daten gesichert in dem Datenspeicher DMEM zu speichern und aus diesem gesichert zu lesen. Die in dem Datenspeicher DMEM gespeicherten Daten sind dazu kryptographisch auf Manipulationen überprüfbar gespeichert und werden beim Lesen überprüft, um die Integrität der gelesenen Daten feststellen zu können oder Manipulationen erkennen zu können.The data memory DMEM is preferably designed to be unsafe, that is to say, in particular, not electrically and / or mechanically protected against manipulation. Due to the generally higher price of the secure memory SMEM compared to the data memory DMEM, the secure memory SMEM has only a small memory capacity compared to the data memory DMEM. However, the data stored in the data memory DMEM should also be protected. In particular, manipulations of the data are reliably detected who you can. The tachograph TCO is therefore designed to store data securely in the data memory DMEM and to read from this secured. The data stored in the data memory DMEM are cryptographically stored for manipulation verifiable and are checked during reading in order to determine the integrity of the read data or to detect tampering.
Die in dem Datenspeicher DMEM gespeicherten Daten umfassen die Nutzdaten ND, die beispielsweise die erfasste Fahrgeschwindigkeit umfassen. Die Chipkarte CK kann einen weiteren sicheren Speicher und einen weiteren Datenspeicher umfassen entsprechend dem sicheren Speicher SMEM und dem Datenspeicher DMEM des Tachographen TCO. Entsprechend können auch Daten gesichert in dem weiteren Datenspeicher der Chipkarte CK gespeichert oder gesichert aus diesem gelesen werden.The Data stored in the data memory DMEM includes the payload ND, for example, include the detected driving speed. The smart card CK may have another secure memory and a further data storage include according to the secure storage SMEM and the data memory DMEM of the tachograph TCO. Corresponding You can also save data in the other data store the chip card CK can be stored or saved read from this.
Die unterschiedlichen vorgegebenen Datenbereiche können für unterschiedliche Datentypen oder Datenstrukturen vorgesehen sein. Jedoch können auch mehrere vorgegebene Datenbereiche für den gleichen Datentyp oder für die gleiche Datenstruktur vorgesehen sein. Ferner kann auch vorgesehen sein, unterschiedliche Datentypen oder Datenstrukturen gemeinsam in einem der vorgegebenen Datenbereiche zu speichern. Beispielsweise kann einer der vorgegebenen Datenbereiche vorgesehen sein zum gesicherten Speichern der erfassten Fahrgeschwindigkeit als Nutzdaten ND. Ein anderer der vorgegebenen Datenbereiche kann vorgesehen sein zum gesicherten Speichern eines Einsteckzeitpunkts und Aussteckzeitpunkts der Chipkarte CK in die beziehungsweise aus der Chipkartenleseeinheit des Tachographen TCO als Nutzdaten ND. Es können jedoch auch andere oder weitere Nutzdaten ND gespeichert werden.The different predetermined data areas can for be provided different data types or data structures. However, several predetermined data ranges for the same data type or provided for the same data structure be. Furthermore, it can also be provided, different types of data or data structures together in one of the predetermined data areas save. For example, one of the predetermined data areas be provided for secure storage of the detected vehicle speed as user data ND. Another of the predetermined data areas can be provided for the secure storage of a Einsteckzeitpunkts and Aussteckzeitpunkts the chip card CK in or out of Chip card reading unit of the tachograph TCO as user data ND. It However, other or further user data ND can also be stored become.
Die Datensätze DS, die in den vorgegebenen Datenbereichen speicherbar sind, umfassen jeweils die Nutzdaten ND, eine Datensatzkennung DSK und einen Datensatzprüfwert DSP. Der Datensatzprüfwert DSP wird über die Nutzdaten ND und die Datensatzkennung DSK des jeweiligen Datensatzes DS gebildet. Der Datensatzprüfwert DSP wird vorzugsweise kryptographisch gebildet, zum Beispiel als eine digitale Signatur oder als ein Nachrichtenauthentisierungskode, der auch als Message Authentication Code, oder kurz: MAC, bezeichnet werden kann. Der Datensatzprüfwert DSP kann jedoch auch anders ausgebildet sein. Die Datensatzkennung DSK und der Datensatzprüfwert DSP sind dem zugehörigen Datensatz DS logisch zugeordnet, müssen jedoch nicht zusammen mit den Nutzdaten ND in dem zugehörigen, vorgegebenen Datenbereich gespeichert sein. Die Datensatzkennung DSK und der Datensatzprüfwert DSP des jeweiligen Datensatzes DS können auch an einem anderen Ort, zum Beispiel einem anderen Datenträger, gespeichert sein.The Records DS that can be stored in the specified data areas are each comprise the payload ND, a record identifier DSK and a record check value DSP. The record check value DSP is via the payload ND and the record identifier DSK of the respective data set DS formed. The record check value DSP is preferably formed cryptographically, for example as a digital signature or as a message authentication code, which is also called Message Authentication Code, or MAC for short can be. However, the record check value DSP may also be be trained differently. The record identifier DSK and the record check value DSP are logically assigned to the associated data set DS, but do not have to coincide with the payload ND in the associated, predetermined data area to be stored. The record identifier DSK and the record check value DSP of each record DS can also be on another Location, for example, another disk, stored be.
Der mindestens eine vorgegebene Datenbereich ist vorzugsweise als ein Ringspeicher ausgebildet mit einer vorgegebenen maximalen Anzahl MAX_DS von Datensätzen DS, die in dem jeweiligen Ringspeicher, das heißt in dem jeweiligen vorgegebenen Datenbereich, speicherbar sind. Der jeweilige Ringspeicher zeichnet sich dadurch aus, dass Datensätze DS nur an aufeinander folgenden, vorgegebenen Positionen POS speicherbar sind und dass bei dem Speichern des Datensatzes DS, der neu in dem Ringspeicher gespeichert wird, der jeweils älteste Datensatz DS in dem Ringspeicher überschrieben wird, wenn die maximale Anzahl MAX_DS von Datensätzen DS in dem jeweiligen Ringspeicher erreicht ist, das heißt der jeweilige Ringspeicher voll ist. Der mindestens eine vorgegebene Datenbereich kann jedoch auch anders ausgebildet sein.Of the At least one predetermined data area is preferably as one Ring memory formed with a predetermined maximum number MAX_DS of data sets DS, which are stored in the respective ring buffer, that is in the respective given data area, are storable. The respective ring buffer is characterized from that records DS only to successive, predetermined Positions POS are storable and that when saving the record DS, which is newly stored in the ring buffer, the oldest record DS is overwritten in the ring buffer if the maximum Number MAX_DS of records DS in the respective ring buffer is reached, that is, the respective ring buffer full is. However, the at least one predetermined data area can also be trained differently.
Für den Tachographen TCO ist die maximale Anzahl MAX_DS von Datensätzen DS bevorzugt so vorgegeben, dass die Nutzdaten ND, die innerhalb eines vorgegebenen Zeitraums voraussichtlich gespeichert werden sollen, in den jeweiligen Ringspeichern speicherbar sind, ohne dass ältere Datensätze DS überschrieben werden müssen. Beispielsweise beträgt der vorgegebene Zeitraum ein Jahr. Der vorgegebene Zeitraum kann jedoch auch kürzer oder länger vorgegeben sein.For The Tachograph TCO is the maximum number of MAX_DS records DS prefers so given that the payload ND, within a expected to be stored for a given period, can be stored in the respective ring memories without older ones Records DS must be overwritten. For example, the specified period is one year. However, the given period may be shorter or longer be predetermined.
Dem
jeweiligen vorgegebenen Datenbereich ist jeweils eine Datenbereichsinformation
DBI zugeordnet. In dem ersten Ausführungsbeispiel ist die
jeweilige Datenbereichsinformation DBI in dem sicheren Speicher
SMEM gespeichert. Dadurch ist die jeweilige Datenbereichsinformation
DBI vor Manipulation geschützt.
Alternativ oder zusätzlich kann eine Ausschlussliste AL vorgesehen sein, die der jeweiligen Datenbereichsinformation DBI zugeordnet ist. In der Ausschlussliste AL sind gelöschte, das heißt ungültig gewordene, Datensätze DS registriert. Dazu ist beispielsweise der jeweilige Eindeutigkeitsstempel ES in der Ausschlussliste AL eingetragen. Es kann auch vorgesehen sein, einen Wertebereich ungültig gewordener Eindeutigkeitsstempel ES für den jeweils ungültig gewordenen Datensatz DS in die Ausschlussliste AL einzutragen oder einen bereits in der Ausschlussliste AL eingetragenen Wertebereich ungültig gewordener Eindeutigkeitsstempel ES abhängig von dem Eindeutigkeitsstempel ES desjenigen Datensatzes DS zu erweitern, der als ungültig markiert werden soll. Somit ist ein Datensatz DS nur dann gültig, wenn dessen zugehöriger Eindeutigkeitsstempel ES innerhalb des mindestens einen Wertebereichs der Eindeutigkeitsstempel ES liegt und dessen zugehöriger Eindeutigkeitsstempel ES nicht in der Ausschlussliste AL eingetragen ist. Die Ausschlussliste AL ist bevorzugt sicher oder gesichert gespeichert, um eine unberechtigte Manipulation der Ausschlussliste AL zu verhindern.alternative or in addition, an exclusion list AL may be provided assigned to the respective data area information DBI is. In the exclusion list AL are deleted, that is invalidated records DS registered. For this purpose, for example, the respective uniqueness stamp ES in the exclusion list AL registered. It can also be provided a value range of invalidated uniqueness stamps ES for the invalidated record DS in the exclusion list AL or one already in the exclusion list AL entered value range invalidated uniqueness stamp ES depending on the uniqueness stamp ES of that data record DS to be marked as invalid. Thus, a record DS is valid only if its associated uniqueness stamps within the at least a value range of uniqueness stamps ES lies and whose Associated uniqueness stamp It is not in the exclusion list AL is registered. The exclusion list AL is preferably secure or saved to prevent unauthorized manipulation Exclusion list AL to prevent.
Ferner ist es vorteilhaft, in der jeweiligen Datenbereichsinformation eine neueste Position NPOS des zuletzt gespeicherten Datensatzes DS in dem zugehörigen, vorgegebenen Datenbereich und/oder eine Schreibposition SPOS der als nächstes zu beschreibenden Position POS in dem zugehörigen, vorgegebenen Datenbereich und/oder eine Anzahl ANZ_DS von Datensätzen DS, die aktuell in dem zugehörigen, vorgegebenen Datenbereich gespeichert sind, und/oder die maximale MAX_DS von Datensätzen DS, die in dem zugehörigen, vorgegebenen Datenbereich speicherbar sind, vorzusehen. Durch Vorsehen dieser Informationen in der jeweiligen Datenbereichsinformation DBI kann der Zugriff auf die Datensätze DS des zugehörigen, vorgegebenen Datenbereichs besonders einfach und schnell erfolgen. Es müssen jedoch nicht alle diese Informationen in der Datenbereichsinformation DBI vorgesehen sein. Beispielsweise kann die maximale Anzahl MAX_DS von Datensätzen DS, die in dem jeweiligen vorgegebenen Datenbereich speicherbar sind, auch fest in einem Programm kodiert sein, das das gesicherte Schreiben und/oder Lesen durchführt. Ferner ist gegebenenfalls die Schreibposition SPOS aus anderen Informationen ermittelbar, insbesondere wenn der mindestens eine vorgegebene Datenbereich als Ringspeicher ausgebildet ist. Beispielsweise kann als Schreibposition SPOS die der neuesten Position NPOS nachfolgende Position POS unter Berücksichtigung der maximalen Anzahl MAX_DS von Datensätzen DS ermittelt werden. Ferner kann gegebenenfalls der Eindeutigkeitsstempel ES_MAX mit dem größten Wert abhängig von der neuesten Position NPOS und der Schreibposition SPOS ermittelt werden und muss daher nicht vorgesehen sein. Ferner muss gegebenenfalls die neueste Position NPOS und die Schreibposition SPOS nicht vorgesehen sein, wenn die Anzahl ANZ_DS von Datensätzen DS in dem zugehörigen, vorgegebenen Datenbereich vorgesehen ist.Furthermore, it is advantageous to have in the respective data area information a newest position NPOS of the last stored data record DS in the associated, predefined data area and / or a write position SPOS of the position POS to be described next in the associated, predefined data area and / or a number ANZ_DS of DS records currently in the too belonging, predetermined data area are stored, and / or the maximum MAX_DS of records DS, which are storable in the associated, predetermined data area to provide. By providing this information in the respective data area information DBI, the access to the data sets DS of the associated, predefined data area can be effected particularly simply and quickly. However, not all of this information must be provided in the data area information DBI. For example, the maximum number MAX_DS of data sets DS that can be stored in the respective given data area can also be permanently coded in a program that performs the secure writing and / or reading. Furthermore, if appropriate, the writing position SPOS can be determined from other information, in particular if the at least one predetermined data area is designed as a ring memory. For example, as the writing position SPOS, the position POS following the newest position NPOS can be determined taking into account the maximum number MAX_DS of data records DS. Further, if necessary, the uniqueness stamp ES_MAX having the largest value can be determined depending on the latest position NPOS and the writing position SPOS, and therefore need not be provided. Further, if necessary, the newest position NPOS and the write position SPOS may not be provided if the number ANZ_DS of data sets DS is provided in the associated predetermined data area.
In einem Schritt S5 wird der jeweilige Datensatzprüfwert DSP abhängig von den jeweiligen Nutzdaten ND und der jeweiligen Datensatzkennung DSK ermittelt. Der jeweilige Datensatzprüfwert DSP wird für den jeweiligen Datensatz DS gespeichert. In einem Schritt S6 wird die jeweilige Datenbereichsinformation DBI des jeweils zugehörigen, vorgegebenen Datenbereichs erzeugt und gespeichert oder, falls diese bereits gespeichert ist, aktualisiert. Dies betrifft insbesondere die Information über den mindestens einen Wertebereich der Eindeutigkeitsstempel ES und gegebenenfalls die neueste Position NPOS, die Schreibposition SPOS und/oder die Anzahl ANZ_DS von Datensätzen DS. Das Speichern der Datenbereichsinformation DBI erfolgt vorzugsweise sicher in dem sicheren Speicher SMEM oder gesichert in dem Datenspeicher DMEM. In letzterem Fall wird in einem Schritt S7 der jeweilige oder gemeinsame Datenbereichsprüfwert DBP erzeugt und sicher in dem sicheren Speicher SMEM gespeichert. Das Programm endet in einem Schritt S8.In a step S5 is the respective record check value DSP depending on the respective user data ND and the respective Record ID DSK determined. The respective record check value DSP is stored for the respective DS record. In a step S6, the respective data area information DBI of the respectively associated, predetermined data area and stored or, if already stored, updated. This concerns in particular the information about the at least one Value range of the uniqueness stamp ES and, if applicable, the latest position NPOS, the writing position SPOS and / or the number ANZ_DS of records DS. Storing the data area information DBI is preferably carried out safely in the secure memory SMEM or saved in the data store DMEM. In the latter case, in one step S7 the respective or common data area check value DBP is generated and stored securely in the secure memory SMEM. The program ends in a step S8.
Es kann auch ein Schritt S9 vorgesehen sein, der beispielsweise anstatt der Schritte S2 bis S5 ausgeführt wird, um einen Datensatz DS oder zwei oder mehr Datensätze DS zu löschen oder als ungültig zu markieren. Der jeweilige Datensatz DS wird dazu beispielsweise in der vorgesehenen Ausschlussliste AL registriert, zum Beispiel durch Eintragen des jeweiligen Eindeutigkeitsstempels ES oder durch Eintragen oder Anpassen eines Wertebereichs oder mehrerer Wertebereiche ungültig gewordener Eindeutigkeitsstempel ES.It can also be provided a step S9, for example, instead Steps S2 to S5 is executed to a record DS or delete two or more DS records or mark as invalid. The respective record For example, DS will be included in the designated exclusion list AL registered, for example by entering the respective uniqueness stamp ES or by entering or adjusting one or more value ranges Value ranges invalidated uniqueness stamp IT.
Anhand der so gespeicherten Daten ist eine Integrität der Nutzdaten ND überprüfbar. Eine Manipulation von Nutzdaten ND oder Datensatzkennung DSK und/oder gegebenenfalls von Datenbereichsinformationen DBI, das heißt eine Verletzung der Integrität der Nutzdaten ND, ist so erkennbar. Das Überprüfen erfolgt bei dem gesicherten Lesen der Nutzdaten ND.Based The data thus stored is an integrity of the payload ND verifiable. A manipulation of user data ND or data record identifier DSK and / or possibly data area information DBI, that is a violation of integrity the user data ND, is so recognizable. The checking takes place in the secure reading of the user data ND.
In einem Schritt S15 wird überprüft, ob der Vergleichsdatensatzprüfwert VDSP gleich dem Datensatzprüfwert DSP ist. Ferner kann in dem Schritt S15 überprüft werden, ob der jeweilige Datensatz DS in der Ausschlussliste AL registriert ist. Ist der ermittelte Vergleichsdatensatzprüfwert VDSP ungleich dem jeweiligen Datensatzprüfwert DSP oder ist der jeweilige Datensatz DS in der Ausschlussliste AL registriert, dann wird das Programm in einem Schritt S16 fortgesetzt, in dem festgestellt wird, dass die Integrität der Nutzdaten ND verletzt ist. Das Programm endet dann in einem Schritt S17.In a step S15, it is checked whether the comparison data set check value VDSP is equal to the record check value DSP. Furthermore, it can be checked in step S15 whether the respective data record DS is registered in the exclusion list AL. Is the ermit If the comparison data record check value VDSP is different from the respective data record check value DSP or if the respective data record DS is registered in the exclusion list AL, then the program is continued in a step S16 in which it is determined that the integrity of the user data ND has been violated. The program then ends in a step S17.
Ist in dem Schritt S15 jedoch der Vergleichsdatensatzprüfwert VDSP gleich dem Datensatzprüfwert DSP und ist der jeweilige Datensatz DS nicht in der Ausschlussliste AL registriert, dann wird das Programm in einem Schritt S18 fortgesetzt. In dem Schritt S18 wird die Datenbereichsinformation DBI des zugehörigen, vorgegebenen Datenbereichs gelesen. Gegebenenfalls ist in einem Schritt S19 vorgesehen, den jeweiligen oder gemeinsamen Datenbereichsprüfwert DBP zu lesen und einen Vergleichsdatenbereichsprüfwert VDSP entsprechend dem Datenbereichsprüfwert DBP zu ermitteln. In einem Schritt S20 wird überprüft, ob die Informationen in der Datensatzkennung DSK und in der Datenbereichsinformation DBI plausibel sind. Beispielsweise wird überprüft, ob der in der Datensatzkennung DSK gespeicherte Eindeutigkeitsstempel ES innerhalb des mindestens einen Wertebereichs der Eindeutigkeitsstempel ES liegt. Ferner wird überprüft, ob die Datenbereichskennung DBK übereinstimmt. Ferner wird vorzugsweise überprüft, ob die jeweilige Position POS, die in der jeweiligen Datensatzkennung DSK gespeichert ist, jeweils der tatsächlichen Position POS des jeweiligen Datensatzes DS in dem jeweils zugehörigen, vorgegebenen Datenbereich entspricht. Ferner kann überprüft werden, ob der Vergleichsdatenbereichsprüfwert VDBP gleich dem Datenbereichsprüfwert DBP ist. Sind die Informationen in der Datensatzkennung DSK und der Datenbereichsinformation DBI nicht plausibel oder stimmen der Vergleichsdatenbereichsprüfwert VDBP und der Datenbereichsprüfwert DBP nicht überein, dann wird das Programm in dem Schritt S16 fortgesetzt und in dem Schritt S17 beendet. Andernfalls wird das Programm in einem Schritt S21 fortgesetzt, in dem festgestellt wird, dass die Integrität der Nutzdaten ND gegeben ist und diese mit hoher Wahrscheinlichkeit nicht manipuliert wurden. Das Programm endet in dem Schritt S17.is however, in step S15, the comparison data set check value VDSP is equal to the record check value DSP and is the respective one Record DS is not registered in the exclusion list AL, then becomes the program continues in a step S18. In the step S18 is the data area information DBI of the associated, read predetermined data area. If necessary, it is in one Step S19, the respective or common data area check value DBP and a compare data range check value Determine VDSP according to the data area check value DBP. In a step S20 it is checked whether the information in the record identifier DSK and in the data area information DBI are plausible. For example, it checks whether the uniqueness stamp stored in the record identifier DSK ES within the at least one value range of the uniqueness stamp IT is up. It is also checked whether the data area identifier DBK matches. It is also preferable to check whether the respective position POS, that in the respective record identifier DSK is stored, each of the actual position POS of the respective data record DS in the respectively associated, given data range corresponds. It can also be checked whether the comparison data area check value VDBP is equal to Data area check value DBP is. Is the information in the record identifier DSK and the data area information DBI not plausible or agree the comparison data range check value VDBP and data range check value DBP do not match, then the program continues in step S16 and in the Step S17 ends. Otherwise, the program will be in one step S21 continued, which states that integrity the user data ND is given and these are not likely were manipulated. The program ends in step S17.
Eine
Reihenfolge der jeweiligen Schritte der Programme gemäß
Durch das gesicherte Speichern der Nutzdaten ND und durch das gesicherte Lesen der Nutzdaten ND sind Manipulationen der Nutzdaten ND einfach und zuverlässig erkennbar. Die erkennbaren Manipulationen umfassen Änderungen an den Nutzdaten ND, an der Datensatzkennung DSK und gegebenenfalls an der Datenbereichsinformation DBI. Ferner können die Manipulationen Änderungen der Position POS von Datensätzen DS innerhalb ihres zugehörigen vorgegebenen Datenbereichs, ein Austauschen von Datensätzen DS zwischen unterschiedlichen vorgegebenen Datenbereichen und ein Austauschen von Datenbereichsinformationen umfassen. Ferner sind so genannte Replay-Attacken erkennbar durch Vorsehen des Eindeutigkeitsstempels ES und der Berück sichtigung der Information zu dem mindestens einen Wertebereich der Eindeutigkeitsstempel ES innerhalb des zugehörigen, vorgegebenen Datenbereichs.By the secure storage of the user data ND and the secured Reading the user data ND are easy manipulations of the user data ND and reliably recognizable. The recognizable manipulations include changes to the payload ND, to the record identifier DSK and possibly at the data area information DBI. Further The manipulations can change the position POS of records DS within their associated predetermined data area, an exchange of data sets DS between different predetermined data areas and a replacement of data area information. Furthermore, so-called Replay attacks detectable by providing the uniqueness stamp ES and taking into account the information on the at least a value range of uniqueness stamps ES within the associated, given data area.
Ein Vorteil ist, dass nur über geringe Datenmengen rechenintensive, kryptographische Berechnungen durchgeführt werden müssen für das Ermitteln des jeweiligen Datensatzprüfwerts DSP und Vergleichsdatensatzprüfwerts VDSP und gegebenenfalls für das Ermitteln des jeweiligen oder gemeinsamen Datenbereichprüfwerts DBP und Vergleichsdatenbereichsprüfwerts VDBP. Simulationen haben gezeigt, dass eine Zeitdauer, die für den Integritätsschutz aufgewendet werden muss, sich durch das gesicherte Schreiben oder das gesicherte Lesen gemäß den obigen Ausführungen bei großen Datenmengen etwa um einen Faktor zwei bis drei reduzieren lässt. Ein Zugriff auf einen jeweiligen Datensatz DS, das heißt das gesicherte Schreiben oder das gesicherte Lesen des jeweiligen Datensatzes DS, kann so besonders schnell erfolgen. Das gesicherte Schreiben und das gesicherte Lesen gemäß den obigen Ausführungen ist insbesondere dann besonders vorteilhaft, wenn die gesichert gespeicherten Datensätze DS keinen oder nur seltenen Änderungen unterliegen.One The advantage is that only small data volumes require computation, Cryptographic calculations must be performed for determining the respective record check value DSP and comparison data set test value VDSP and, if applicable for determining the respective or common data area check value DBP and compare data range check value VDBP. simulations have shown that a period of time required for integrity must be spent by the secured letter or the secure reading according to the above for large amounts of data about a factor of two to three can be reduced. An access to a respective record DS, that is the secured letter or the secured one Reading the respective data record DS, can be done very quickly. The secure writing and the secure reading according to the The above statements are especially advantageous in particular. if the saved records DS no or are subject to only rare changes.
Das gesicherte Schreiben und/oder das gesicherte Lesen gemäß den obigen Ausführungen ist nicht nur in dem Tachographen TCO nutzbar. Andere Vorrichtungen im Automobilbereich, zum Beispiel Steuergeräte, oder in einem anderen technischen Bereich können ebenfalls von dem gesicherten Schreiben und/oder gesicherten Lesen profitieren. Beispielsweise können auch Programmkode und/oder Kennfelder und/oder andere Daten als die Nutzdaten ND entsprechend gesichert geschrieben und/oder gelesen werden.The secured letters and / or secure reading in accordance with The above is not only in the tachograph TCO available. Other devices in the automotive sector, for example control devices, or in another technical area can also benefit from the secure writing and / or secure reading. For example can also program code and / or maps and / or others Data written as the user data ND secured accordingly and / or to be read.
- ALAL
- Ausschlusslisteexclusion list
- ANZ_DSANZ_DS
- Anzahl von Datensätzennumber of records
- CKCK
- Chipkartesmart card
- DB1DB1
- erster vorgegebener Datenbereichfirst given data area
- DB2DB2
- zweiter vorgegebener Datenbereichsecond given data area
- DB3DB3
- dritter vorgegebener Datenbereichthird given data area
- DBIDBI
- DatenbereichsinformationData area information
- DBKDBK
- DatenbereichskennungThe data area identifier
- DBPDBP
- DatenbereichsprüfwertDatenbereichsprüfwert
- DMEMDMEM
- Datenspeicherdata storage
- DSDS
- Datensatzrecord
- DSKDSK
- DatensatzkennungRecord ID
- DSPDSP
- DatensatzprüfwertDatensatzprüfwert
- ESIT
- Eindeutigkeitsstempeluniqueness stamp
- ES_MAXES_max
- Eindeutigkeitsstempel mit größten Wertuniqueness stamp with greatest value
- ES_MINES_MIN
- Eindeutigkeitsstempel mit geringsten Wertuniqueness stamp with lowest value
- MAX_DSMAX_DS
- maximale Anzahl von Datensätzenmaximum Number of records
- NDND
- Nutzdatenpayload
- NPOSNPOS
- neueste Positionlatest position
- POSPOS
- Positionposition
- RDSRDS
- Raddrehzahlsensorwheel speed sensor
- RTCRTC
- EchtzeituhrReal Time Clock
- S1–S21S1-S21
- Schrittstep
- SMEMSMEM
- sicherer Speichersecure Storage
- SPOSSPOS
- Schreibpositionwrite position
- TCOTCO
- Tachographtachograph
- VDBPVDBP
- VergleichsdatenbereichsprüfwertVergleichsdatenbereichsprüfwert
- VDSPVDSP
- VergleichsdatensatzprüfwertVergleichsdatensatzprüfwert
- ZSZS
- Zeitstempeltime stamp
ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list The documents listed by the applicant have been automated generated and is solely for better information recorded by the reader. The list is not part of the German Patent or utility model application. The DPMA takes over no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- - WO 2005/098567 A1 [0002] WO 2005/098567 A1 [0002]
Claims (11)
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102007008293A DE102007008293B4 (en) | 2007-02-16 | 2007-02-16 | Method and device for secure storage and secure reading of user data |
EP08708004.0A EP2122525B1 (en) | 2007-02-16 | 2008-01-21 | Method and device for securely storing and securely reading user data |
RU2009134528/08A RU2467390C2 (en) | 2007-02-16 | 2008-01-21 | Method and apparatus for safe storage and safe reading of useful data |
TR2019/08685T TR201908685T4 (en) | 2007-02-16 | 2008-01-21 | Method and device for the safe storage and secure reading of user data. |
US12/527,383 US20100122056A1 (en) | 2007-02-16 | 2008-01-21 | Method and Device for Securely Storing and Securely Reading User Data |
PCT/EP2008/050600 WO2008098817A1 (en) | 2007-02-16 | 2008-01-21 | Method and device for securely storing and securely reading user data |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102007008293A DE102007008293B4 (en) | 2007-02-16 | 2007-02-16 | Method and device for secure storage and secure reading of user data |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102007008293A1 true DE102007008293A1 (en) | 2008-09-04 |
DE102007008293B4 DE102007008293B4 (en) | 2010-02-25 |
Family
ID=39295923
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102007008293A Active DE102007008293B4 (en) | 2007-02-16 | 2007-02-16 | Method and device for secure storage and secure reading of user data |
Country Status (6)
Country | Link |
---|---|
US (1) | US20100122056A1 (en) |
EP (1) | EP2122525B1 (en) |
DE (1) | DE102007008293B4 (en) |
RU (1) | RU2467390C2 (en) |
TR (1) | TR201908685T4 (en) |
WO (1) | WO2008098817A1 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2339499A4 (en) * | 2008-08-22 | 2012-05-09 | Ibm | Storage device, information processing device, and program |
DE102008061710A1 (en) * | 2008-12-12 | 2010-06-17 | Continental Automotive Gmbh | Method for operating a sensor device and sensor device |
DE102010002472A1 (en) * | 2010-03-01 | 2011-09-01 | Robert Bosch Gmbh | Method for verifying a memory block of a non-volatile memory |
KR102557785B1 (en) * | 2017-12-20 | 2023-07-21 | 훼리카네트워크스 카부시키가이샤 | Information processing device and information processing method |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6351752B1 (en) * | 1998-07-08 | 2002-02-26 | Ncr Corporation | Method and apparatus for detecting changes to a collection of objects |
EP1049988B1 (en) * | 1998-01-23 | 2002-09-04 | Emc Corporation | Content addressable information encapsulation, representation, and transfer |
US20050065943A1 (en) * | 2003-07-10 | 2005-03-24 | Sony Corporation | Data management apparatus, data management method and computer program |
WO2005098567A1 (en) | 2004-03-24 | 2005-10-20 | Siemens Aktiengesellschaft | Integrated circuit device |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7152165B1 (en) * | 1999-07-16 | 2006-12-19 | Intertrust Technologies Corp. | Trusted storage systems and methods |
EP1164489B1 (en) * | 1999-12-20 | 2007-02-14 | Dai Nippon Printing Co., Ltd. | Distributed data archive device and system |
US6823453B1 (en) * | 2000-10-06 | 2004-11-23 | Hewlett-Packard Development Company, L.P. | Apparatus and method for implementing spoofing-and replay-attack-resistant virtual zones on storage area networks |
US7043637B2 (en) * | 2001-03-21 | 2006-05-09 | Microsoft Corporation | On-disk file format for a serverless distributed file system |
US6912645B2 (en) * | 2001-07-19 | 2005-06-28 | Lucent Technologies Inc. | Method and apparatus for archival data storage |
KR100970122B1 (en) * | 2001-11-01 | 2010-07-13 | 베리사인 인코포레이티드 | High speed non-concurrency controlled database |
US20040054987A1 (en) * | 2002-09-17 | 2004-03-18 | Sonpar Nicki P. | System and method of an incremental file audit in a computer system |
US20050050342A1 (en) * | 2003-08-13 | 2005-03-03 | International Business Machines Corporation | Secure storage utility |
US7603568B1 (en) * | 2004-04-21 | 2009-10-13 | Sun Microsystems, Inc. | Method and apparatus for self-validating checksums in a file system |
DE102004030869A1 (en) * | 2004-06-25 | 2006-01-19 | Siemens Ag | Data transmission in an arrangement with a tachograph |
RU2277720C2 (en) * | 2004-06-30 | 2006-06-10 | Государственное образовательное учреждение высшего профессионального образования Курский государственный технический университет | Method and device for limiting access to digital data recorded on carrier |
EP1782148B1 (en) * | 2004-07-21 | 2011-09-21 | ITernity GmbH | Rapid archivable worm memory system based on a hard disc |
DE102005008928A1 (en) * | 2005-02-24 | 2006-09-07 | Siemens Ag | Method for authenticating a module |
US7509474B2 (en) * | 2005-06-08 | 2009-03-24 | Micron Technology, Inc. | Robust index storage for non-volatile memory |
-
2007
- 2007-02-16 DE DE102007008293A patent/DE102007008293B4/en active Active
-
2008
- 2008-01-21 TR TR2019/08685T patent/TR201908685T4/en unknown
- 2008-01-21 US US12/527,383 patent/US20100122056A1/en not_active Abandoned
- 2008-01-21 WO PCT/EP2008/050600 patent/WO2008098817A1/en active Application Filing
- 2008-01-21 RU RU2009134528/08A patent/RU2467390C2/en active
- 2008-01-21 EP EP08708004.0A patent/EP2122525B1/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1049988B1 (en) * | 1998-01-23 | 2002-09-04 | Emc Corporation | Content addressable information encapsulation, representation, and transfer |
US6351752B1 (en) * | 1998-07-08 | 2002-02-26 | Ncr Corporation | Method and apparatus for detecting changes to a collection of objects |
US20050065943A1 (en) * | 2003-07-10 | 2005-03-24 | Sony Corporation | Data management apparatus, data management method and computer program |
WO2005098567A1 (en) | 2004-03-24 | 2005-10-20 | Siemens Aktiengesellschaft | Integrated circuit device |
Also Published As
Publication number | Publication date |
---|---|
EP2122525A1 (en) | 2009-11-25 |
WO2008098817A1 (en) | 2008-08-21 |
US20100122056A1 (en) | 2010-05-13 |
RU2467390C2 (en) | 2012-11-20 |
RU2009134528A (en) | 2011-03-27 |
EP2122525B1 (en) | 2019-03-27 |
DE102007008293B4 (en) | 2010-02-25 |
TR201908685T4 (en) | 2019-07-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1089219B1 (en) | Method for protecting a data memory | |
DE102016007472A1 (en) | Procedure for registering multiple vehicle data in a blockchain and protection against subsequent changes | |
DE102017007249A1 (en) | Operating method for a filter system and filter system | |
DE102018210318B4 (en) | Method for securing vehicle components and corresponding vehicle component | |
WO2019162072A1 (en) | Tamper-evident storage of evidentiary data | |
EP2091000A2 (en) | Method for protecting saved operational data of a machine assembly or similar assembly | |
EP3743688A1 (en) | Method and device for storing distance data | |
EP2122525B1 (en) | Method and device for securely storing and securely reading user data | |
WO2021233696A1 (en) | Method for the secure use of cryptographic material | |
EP1927085A1 (en) | Data processing arrangement and the operation mode thereof | |
DE102006009214A1 (en) | Contents writing method for e.g. uniform channel programming electrically erasable ROM, involves writing contents of output memory to target memory if selection memory indicates to output memory that target memory is not written | |
DE3025044C2 (en) | ||
EP0489091A1 (en) | Process for coding and availability of a chip card. | |
DE102011014665A1 (en) | Detecting attacks on a portable disk | |
DE102021003609A1 (en) | Method and device for the documentation of operating data and their application for a high-voltage battery system | |
DE102006047245A1 (en) | Tachograph assembly and method for introducing an identifier into an adapter for the tachograph assembly | |
EP0970449B1 (en) | Portable data carrier and method for cryptographically secure use thereof with interchangeable keys | |
DE102018200807A1 (en) | Method and server device for providing a digital vehicle companion book for a motor vehicle | |
DE10247794B4 (en) | Managing a failed trial counter in a portable disk | |
EP1591864A2 (en) | Method for protecting data on a data carrier against DFA - attacks | |
DE102010035314B4 (en) | Method for managing a misoperation counter in a portable data carrier | |
DE102017011103A1 (en) | Method for storing data of an odometer of a vehicle | |
DE102006054835A1 (en) | Portable data carrier e.g. smart card, for e.g. identification purpose, has blocking functionality irreversibly activatable by blocking event and provided for selective blockage of write accesses on electrically erasable programmable ROM | |
DE102020208331A1 (en) | Procedure for operating a hardware safety module | |
EP1564639B1 (en) | Method for utilising a data memory medium having a trace memory |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8364 | No opposition during term of opposition | ||
R084 | Declaration of willingness to licence | ||
R081 | Change of applicant/patentee |
Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE |
|
R081 | Change of applicant/patentee |
Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, 30165 HANNOVER, DE |